Articles

中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过了《中华人民共和国个人信息保护法》,该法自2021年11月1日起施行。中国第一部个人信息保护法千呼万唤始出来,引发社会高度关注。该法与每一个社会主体息息相关,将影响每一个个人和每一个单位的利益,影响人们生活的方方面面。信息时代,信息是新的生产资料,个人信息属于自然人重要的权利保护客体。我们有必要对新的《个人信息保护法》进行深度学习和领会,该文针对该法十个亮点内容进行了逐一解读。

一、明确了“个人信息”的定义和法律性质


第一条  为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。


第二条  自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。


第四条  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。


个人观点:《个人信息保护法》明确定义“个人信息”,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”该定义具有本法自身特点,《个人信息保护法》是一部信息时代、具有特殊历史使命的法律,具有私法的特征、同时也兼具公法的特征,是不同于《民法典》和其他法律关于个人信息保护的法律。该定义具有很大进步性,把具有识别功能、或者具有识别可能性,与个人有关的电子信息或者其他形式存在的信息都属于该法保护的个人信息。把经过匿名化处理的信息排除在该法个人信息的范围之外,因为匿名化处理的信息难以与个人形成唯一对应关系,也难以产生识别的作用,因此不宜作为受保护的“个人信息”对待。《民法典》第一百一十一条,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。第一千零三十四条,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。该定义基本与《民法典》“个人信息”定义保持一致,范围明显大于民法领域保护的“个人信息”范围。也就是说《个人信息保护法》规定的“个人信息”定义与《民法典》和其他法律规定的“个人信息”定义不是一回事,该法保护的个人信息可以包括《民法典》保护的个人信息,但是反之不可。该法明确“个人信息属于民事权益”,首次对“个人信息”的法律属性进行了明确规定。我坚持“个人信息属于新型民事权利”的观点,具有该新型权利的应有边界和特征,相信未来的法律发展,会逐步确立“个人信息权”的概念和法律地位。法律对民事主体权利的保护明显比民事主体权益的保护更加全面和有力,对民事权利的保护具有主动性,对民事权益的保护常常具有被动性。例如,姓名权是民事主体享有的民事权利,权利的边界非常明确。反不正当竞争法保护民事主体的是一种权益,常常只有在受到侵害之后,被动获得保护。民事主体现有个人信息受保护的权利,具有主动性,更加符合权利的功能和外观。


二、明确了个人信息保护法特殊的域外效力


第三条  在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。


个人观点:鉴于互联网全球性特点,个人信息的传播、使用、侵权行为常常发生在互联网环境下,是突破地域限制的,个人信息越境转移也是常态,因此,关于个人信息的保护,不宜局限我国境内,发生在我国境内的个人信息处理行为,不论是本国人还是外国人所为,统一适用我国《个人信息保护法》,这是司法主权和属地原则的体现。但是发生在境外的影响到我国自然人或者其他主体的合法权益、甚至国家利益的个人信息处理行为,也受到本法的管辖,本法具有特殊的“域外管辖”效力。

三、明确了与个人信息有关活动的性质和范围


第四条  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。


个人观点:《个人信息保护法》无法准确表述与个人信息有关行为的性质,首次使用“处理”来表述与个人信息有关行为的性质。“处理”包括的范围非常宽泛,众多与个人信息有关的行为都可以纳入其中,为未来解释“个人信息有关行为”,留下很大的空间,也可以对新型利用个人信息的行为作有效调整。该法对常见的个人信息处理行为进行了列举和强调,“收集、存储、使用、加工、传输、提供、公开、删除”属于常见的“个人信息处理行为”,还有更多的与个人信息有关的行为,或者随着互联网发展,会不断出现新的个人信息处理行为,该法采取“包括”和“等”的表述方式,属于开放的、非限定的列举方法。新的与个人信息有关的行为,都可以纳入该法保护。

四、明确了个人信息处理的基本原则和一般原则


第五条  处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。个人观点:该条是个人信息处理的基本原则,也是最高原则,处理个人信息要做到“合法、正当、必要、诚信”,该基本原则贯穿个人信息处理的整个过程,可以囊括所有的个人信息有关的行为。这些原则也是《民法典》基本原则在个人信息处理和保护领域的具体体现,也被《消费者权益保护法》等其他法律予以明确。


第六条  处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。


第七条  处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。


第八条,处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。


第九条  个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。



个人观点:以上是个人信息处理的具体原则,个人信息处理要做到目的明确、合理,需要公开、透明、保障个人的知情权,保证个人信息的准确,保障个人信息的安全。其实这些要求和规定,是“合法、正当、必要、诚信”基本原则的应有之义,可以称为个人信息处理的具体原则。

五、明确了个人信息处理“同意原则”的例外情形


第十三条  符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。


个人观点:因为个人信息具有人身属性和财产属性,具有很强的人身依附性,并且主要属于民事主体私权保护的范畴,所以任何主体处理自己以外的个人信息,必须经过他人的同意,这也是“合法原则”的具体要求。考虑到社会的现实情况,很多行业和领域,为了工作的正常开展,国家管理部门为了公共利益,需要大量用到他人个人信息,如果都需要取得同意,不经济也不现实。在个人信息处理过程中,“经过权利人同意是基本要求,不同意是法律的例外”,虽然该法规定“(七)法律、行政法规规定的其他情形”,可以不经过权利人同意,进行处理个人信息,但是该法规定,只有法律和行政法规有权规定“例外情形”,其他位阶的规范文件绝对不能对“例外情形”进行规定和列举。任何单位也不得随意扩大“同意原则的例外情况”。


六、明确了敏感信息的定义和特殊的处理规则


第二十八条  敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。


第二十九条  处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。


第三十条  个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。


第三十一条  个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。


第三十二条  法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。


个人观点:生物识别信息、基因信息、诊疗信息、未成年的有关信息属于敏感信息,不同于一般的个人信息,保护程度和造成的损害都有所不同,处理规则也要区别对待,总体原则,对个人信息中的敏感信息的保护要更加严厉于其他个人信息。

七、明确了个人信息越境转移的特殊规则


第三十八条  个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。


个人观点:个人信息越境转移属于常态,并且容易造成个人信息泄露,个人信息一旦泄露,不但侵害个人信息权利人的利益,还可能危害公共安全,该法对有权进行个人信息越境转移的主体资格、需要具备的条件作了明确规定,对境外个人信息的处理和安全义务提出了更高的要求。

八、明确了个人信息权利人的具体权利


第四十四条  个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。


第四十五条  个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。


第四十六条  个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。


第四十七条  有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。


第四十八条,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。


第四十九条  自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。


第五十条  个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。


个人观点:正如前面所述,自然人对自己的个人信息享有个人信息权,而不是权益。该法的表述其实更加接近个人信息权的表述,因为权益一般不会有具体的权能,只有法律保护的利益。而在关于个人对处理其个人信息享有权利方面,享有个人信息权利或者权益的个人享有“知情权、决定权、查阅权、修改权、更正补充权、删除权等”,这些权利其实是作为享有个人信息权的民事主体所享有个人信息权的具体权能的具体体现。

九、明确了个人信息处理者的具体义务


第五十一条  个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。


第五十二条  处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。


个人观点:参与个人信息处理的主体众多,不同个人信息处理者权限和承担的责任都有所不同。法律无法穷尽所有个人信息处理者应该承担的义务,该法只对常见主体和常规处理措施进行了规定。建立规范制度,专业人员专门负责,加强安全保护措施,事后救济、合规审计、影响评价、制度建设等特殊制度,都是保护个人信息活动中,重要的制度和措施。在个人信息处理过程中,只要是对个人信息保护有利的制度和措施,都是个人信息处理者应当承担的义务,除法定义务外,不同主体根据制度安排、或者协议安排,还需要承担更多、更高的约定义务。


十、明确了履行个人信息保护职责的部门和具体职责


第六十条  国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。


个人观点:国家网信部门是负责统筹协调个人信息保护工作和相关监督管理工作的重要职能部门,县级以上政府相应职能部门承担个人信息保护的相应职责。市场监管、税务、教育、公安等重要政府职能部门虽然该法没有予以一一列举,但是都属于承担个人信息保护责任的职能部门,都应该在自己的权限范围内,承担个人信息保护的相应职责。

十一、明确了个人信息保护的新型法律责任


第六十六条  违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。


第六十七条  有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。


第六十八条  国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。


第六十九条  处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。


第七十条  个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。


第七十一条  违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。


个人观点:《个人信息保护法》除规定了行政责任、民事责任外,还对刑事责任进行了强调,行政责任规定了较高数额的罚款,足见对侵犯个人信息行为的打击力度,彰显对个人信息保护的重视。同时结合互联网的特点,该法规定了新型的责任制度,规定了诚信档案制度,对侵犯个人信息的违法行为进入诚信档案并公开公示,以提高威慑力。考虑到侵犯个人信息的行为常常侵害多数自然人的合法权利、甚至危害社会公共利益,该法规定了“侵犯个人信息的公益诉讼制度”,“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”     在大数据时代,每一个主体处于被“计算”的过程中,每一个主体属于“裸奔”状态,个人信息的作用更加明显,个人信息成为管理国家、经济再生产的重要元素,个人信息被“处理”成为常态,既要保护民事主体的个人信息和合法权利,又要兼顾社会的高速发展,需要妥协和平衡,《个人信息保护法》顺应历史潮流,适时颁布,将对各种个人信息“处理行为”进行有效规制,个人信息保护进入更加严厉的时代。

Our People

Contact us